Zgoda na ciasteczka, a zgoda na przetwarzanie danych osobowych – czyli o karze nałożonej przez prezesa UODO

Autor: Wojciech Kołodziej, aplikant radcowski | Kancelaria CZUBLUN TRĘBICKI

Dodano: 10-01-2022
Kategorie :

Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia spółce, która korzystała z tzw. ciasteczek na urządzeniu użytkownika, pomimo, że użytkownik ten nie wybrał opcji „zgadzam się” na tej stronie ani nie była wymagana zmiana ustawień przeglądarki na potrzeby korzystania ze strony.

Ciasteczko (cookie), to nośnik informacji pochodzący od usługodawcy w formie niewielkiego pliku tekstowego, który zapisywany jest w pamięci komputera użytkownika przez przeglądarkę i otwierany jest przy kolejnych wejściach na stronę. Podstawowa funkcja ciasteczek, to umożliwienie poprawnego działania serwisu. Jednakże, ciasteczka bardzo często zbierają także dane o ruchu użytkownika w internecie w celach analitycznych. W tym zakresie przy użyciu ciasteczek dochodzi do przetwarzania danych osobowych użytkownika, a zatem zasadne są pytania o zastosowanie do nich przepisów Ogólnego Rozporządzenia o Ochronie Danych dotyczących zgody, jako podstawy przetwarzania danych osobowych.

Zgodnie z art. 4 pkt 11 RODO, zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Zdaniem Urzędu, taka właśnie zgoda była wymagana w analizowanej sprawie, aby zgodnie z prawem przetwarzać dane osobowe za pomocą ciasteczek. Tymczasem, zdaniem upomnianej spółki, odpowiednie ustawienia przeglądarki dotyczące ciasteczek były już uprzednio skonfigurowane na urządzeniu użytkownika. Tym samym, użytkownik wyraził już zgodę w sposób ogólny. Taka ogólna zgoda w sposób dorozumiany obejmowała także stronę upomnianej spółki.

Wymaga uwagi fakt, że niezależnie od RODO, dopuszczalność użycia ciasteczek została uregulowana w art. 173 ustawy – prawo telekomunikacyjne, zgodnie z którym jest dozwolone pod warunkiem spełnienia obowiązku informacyjnego i wyrażenia zgody przez użytkownika (ust. 1), przy czym zgoda ta może być wyrażona za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi (ust. 2). W doktrynie już od dłuższego czasu trwa spór czy przepis ten jest wystarczającą podstawą przy ciasteczkach, czy wymagane jest ponadto stosowanie rygorów zgody przewidzianych w RODO, a brakuje decyzji lub orzeczenia, które rozstrzygnęłoby spór. Nic dziwnego, że to właśnie ten przepis jest podstawą stanowiska spółki.

Odniesienia się do tego aspektu w stanowisku prezesa niestety zabrakło, co spotkało się z krytyką komentatorów, a przecież decyzja była idealną okazją, aby ustalić zasady postępowania w przypadku tego oczywistego zbiegu przepisów. Upomniany podmiot wniósł skargę do Wojewódzkiego Sądu Administracyjnego na decyzję prezesa UODO. Są więc szanse, że Sąd odniesie się w wyroku do stosowania omawianych przepisów i konieczności uzyskiwania zgody odpowiadającej rygorom RODO do stosowania ciasteczek.

Gdyby jednak tak się nie stało, pozostaje wyczekiwać projektowanych zmian w prawie – unijnego rozporządzenia ePrivacy (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej) oraz ustawy - prawo komunikacji elektronicznej, która zastąpić ma obecnie obowiązującą ustawę, prawo telekomunikacyjne - mogą one rozstrzygnąć sporną kwestię w sposób normatywny.

Materiał Partnera beinsured.pl:

  

wstecz